Verifica che il certificato sia stato revocato da CRL

Devi specificare -crl_check (e spell verify correttamente) E avere sia il certificato CA che il CRL (applicabile) nel tuo archivio sicuro. Ci sono due modi per farlo:

1. concatena cacert.pem e crl.pem in un file e usalo per -CAfile .
2. inserisce o collega il file PEM cacert in una directory usando il nome $hash.0 dove $ hash è l'hash dell'oggetto cert (che per un certificato radice è anche l'emittente) come output di openssl x509 -noout -subject_hash -in $cert ; e metti o collega il file CRL PEM nella stessa directory usando il nome $hash.r0 dove $ hash è l'hash dell'emittente CRL come output di openssl crl -noout -hash -in $crl (che qui sarà uguale al cert); e usa quella directory per -CApath . (In un caso più generale in cui si hanno molti certs e / o CRL e ci sono collisioni hash, si incrementa lo 0 a 1 ecc.)

L'approccio 2 è probabilmente quello a cui si è fatto riferimento, ma si noti che non è il cert né il CRL come tale che è hash. A seconda che si stia usando la distro sorgente di openssl o di una build pacchettizzata, su Unix può fornire uno script c_rehash che imposta i collegamenti simbolici per l'approccio 2; su Windows AFAICT sei da solo, e farlo manualmente è piuttosto fastidioso (ma possibile).